O que são controles de segurança?

Os controles de segurança são parâmetros implementados para proteger diversas formas de dados e infraestrutura importantes para uma organização. Qualquer tipo de proteção ou contramedida usada para evitar, detectar, contornar ou minimizar riscos à segurança para propriedade física, informações, sistemas de computador ou outros ativos é considerado um controle de segurança.

Com a crescente taxa de ataques cibernéticos, os controles de segurança de dados são mais importantes hoje do que nunca. De acordo com um estudo da Clark School da Universidade de Maryland, os ataques de segurança cibernética nos EUA ocorrem agora a cada 39 segundos, em média, afetando um em cada três americanos a cada ano; 43% desses ataques têm como alvo as pequenas empresas. Entre março de 2021 e março de 2022, o custo médio de uma violação de dados nos Estados Unidos foi de US$ 9,44 milhões.

Ao mesmo tempo, as normas de privacidade de dados estão crescendo, tornando crucial que as empresas reforcem suas políticas de proteção de dados ou enfrentem possíveis multas. A União Europeia implementou regras rígidas com o Regulamento Geral de Proteção de Dados (GDPR) no ano passado. Nos EUA, a Lei de Privacidade do Consumidor da Califórnia deve entrar em vigor em 1º de janeiro de 2020, e vários outros estados estão atualmente considerando medidas semelhantes.

Estes regulamentos normalmente incluem penalidades rígidas para empresas que não atendem aos requisitos. Por exemplo, o Facebook informou recentemente que antecipa uma multa de mais de US$ 3 bilhões da Comissão Federal de Comércio dos EUA por falhas em torno das políticas de proteção de dados que levaram a várias violações de dados.

Existem diversos tipos de controles de segurança que podem ser implementados para proteger hardware, software, redes e dados contra ações e eventos que podem causar perda ou danos. Por exemplo:

• Os controles de segurança física incluem cercas perimetrais do data center, fechaduras, guardas, cartões de controle de acesso, sistemas biométricos de controle de acesso, câmeras de vigilância e sensores de detecção de intrusão.
  
  
• Controles de segurança digital incluem nomes de usuário e senhas, autenticação de dois fatores, software antivírus e firewalls.
  
  
• Os controles de segurança cibernética incluem qualquer coisa projetada especificamente para prevenir ataques a dados, incluindo mitigação de DDoS e sistemas de prevenção de intrusão.
  
  
• Controles de segurança na nuvem incluem medidas que você toma em cooperação com um provedor de serviços de nuvem para garantir a proteção necessária para dados e cargas de trabalho. Caso sua organização tenha cargas de trabalho na nuvem, você deve atender aos requisitos de segurança da política corporativa ou comercial e às regulamentações do setor.

Os frameworks ou padrões são sistemas de controles de segurança, incluindo os processos e a documentação que definem a implementação e o gerenciamento contínuo desses controles.

Os framework permitem que uma organização gerencie consistentemente os controles de segurança em diferentes tipos de ativos, de acordo com uma metodologia geralmente aceita e testada. Algumas das estruturas e padrões mais conhecidos incluem o seguinte:

Instituto Nacional de Padrões e Tecnologia da Estrutura de Segurança Cibernética

O National Institute of Standards and Technology (NIST) criou uma estrutura voluntária em 2014 para fornecer orientações às organizações sobre como prevenir, detectar e responder a ataques cibernéticos. Os métodos e procedimentos de avaliação são usados para determinar se os controles de segurança de uma organização são implementados corretamente, operam como pretendido e produzem o resultado desejado (atendendo aos requisitos de segurança da organização). A estrutura do NIST é constantemente atualizada para acompanhar os avanços da segurança cibernética.

Centro de controles de segurança da Internet

O Center for Internet Security (CIS) desenvolveu uma lista de ações defensivas de alta prioridade que são um ponto de partida "obrigatório" para todas as empresas que tem como objetivo evitar ataques cibernéticos. Segundo o SANS Institute, que desenvolveu os controles do CIS, "os controles do CIS são eficazes porque são derivados dos padrões de ataque mais comuns destacados nos principais relatórios de ameaças e examinados em uma ampla comunidade de profissionais do governo e da indústria".

A organização pode consultar esses e outros frameworks para desenvolver sua própria estrutura de segurança e políticas de segurança de TI. Um framework bem desenvolvido garante que uma organização possa:

• Impor políticas de segurança de TI por meio de controles de segurança
• Educar os funcionários e usuários sobre as diretrizes de segurança
• Atender aos regulamentos da indústria e de conformidade
• Alcançar eficiência operacional em todos os controles de segurança
• Avaliar continuamente os riscos e os aborda por meio de controles de segurança

O seu elo mais fraco dita o quão forte é uma solução de segurança.Portanto, você deve considerar diversas camadas de controles de segurança (também conhecidas como estratégia de defesa aprofundada) para implementar controles de segurança em gerenciamento de identidade e acesso, dados, aplicativos, infraestrutura de rede ou servidor, segurança física e inteligência de segurança.

Uma avaliação dos controles de segurança é uma primeira etapa excelente para determinar onde existem vulnerabilidades. Uma avaliação dos controles de segurança permite que você avalie os controles atualmente em vigor e determine se eles estão implementados corretamente, operando conforme o esperado e atendendo aos seus requisitos de segurança. A Publicação Especial 800-53 do NIST foi criada pelo NIST como referência para avaliações bem-sucedidas de controle de segurança. As diretrizes do NIST servem como uma abordagem de práticas recomendadas que, quando aplicadas, podem ajudar a reduzir o risco de comprometimento da segurança de sua organização. Como alternativa, sua organização também pode criar sua própria avaliação de segurança.

Algumas etapas principais para criar uma avaliação de segurança incluem as seguintes:

• Determine os sistemas de destino: crie uma lista de endereços IP que devem ser verificados em sua rede. A lista deve conter endereços IP de todos os sistemas e dispositivos conectados na rede da sua organização.
  
  
• Determine os aplicativos de destino: liste os aplicativos e serviços da web a serem verificados. Determine o tipo de servidor de aplicativos da web, servidor da web, banco de dados, componentes de terceiros e tecnologias usadas para desenvolver os aplicativos existentes.
  
  
• Verificação e geração de relatórios de vulnerabilidades: mantenha equipes de rede e equipes de TI informadas sobre todas as atividades de avaliação, pois uma avaliação de vulnerabilidade pode ocasionalmente criar aumentos no tráfego de rede ao carregar os servidores de destino com solicitações. Além disso, obtenha a passagem não autenticada para os IPs do scanner em toda a rede da organização e certifique-se de que esses IPs estejam na lista branca no IPS/IDS.Caso contrário, o scanner pode acionar um alerta de tráfego malicioso, resultando no bloqueio do IP.

Leia mais sobre como avaliar a vulnerabilidade dos aplicativos e da rede de sua empresa criando sua própria avaliação de segurança.